Порог блокировки учетной записи
Описаны рекомендации, расположение, значения и соображения безопасности для параметра политики безопасности Порог блокировки учетной записи.
Справочные материалы
Параметр политики Порог блокировки учетной записи определяет количество неудачных попыток входа, которое приведет к блокировке учетной записи пользователя. Заблокированную учетную запись нельзя использовать, пока вы ее не разблокируете или не истечет время, заданное параметром политики Продолжительность блокировки учетной записи. В качестве значения для неудачных попыток входа можно задать число от 1 до 999 или указать, что учетная запись никогда не будет заблокирована, задав значение равным 0. Если для параметра Порог блокировки учетной записи задано значение больше нуля, значение параметра Продолжительность блокировки учетной записи должно быть больше или равно значению параметра Время до сброса счетчика блокировки.
Неудачные попытки ввода пароля на рабочих станциях или рядовых серверах, которые были заблокированы с помощью сочетания клавиш CTRL+ALT+DELETE или на защищенных паролем экранных заставках, не считаются неудачными попытками входа до тех пор, пока параметру Интерактивный вход в систему: требовать проверки на контроллере домена для отмены блокировки компьютера не будет задано значение Включено. Если параметр Интерактивный вход в систему: требовать проверки на контроллере домена для отмены блокировки компьютера включен, повторяющиеся неудачные попытки ввода пароля для разблокировки компьютера будут учитываться в пороговом значении блокировки учетной записи.
Атаки путем подбора паролей могут быть автоматизированы для проверки тысяч или даже миллионов комбинаций паролей для конкретной или всех учетных записей пользователей. Ограничение количества неудачных попыток входа практически исключает эффективность таких атак.
Однако важно отметить, что атаки типа "отказ в обслуживании" (DoS) могут выполняться в домене с настроенным порогом блокировки учетной записи. Злоумышленник способен программным образом направлять серии атак на пароли всех пользователей в организации. Если число попыток больше значения параметра Порог блокировки учетной записи, злоумышленник потенциально сможет заблокировать каждую учетную запись.
Возможные значения
Для параметра политики Порог блокировки учетной записи можно настроить следующие значения.
Определяемое пользователем число от 0 до 999
Не определено
Поскольку уязвимости могут существовать независимо от того, настроен ли этот параметр или нет, организации должны оценить известные угрозы и риски, которые они пытаются устранить. Сведения об этих параметрах см. в разделе Мера противодействия этой статьи.
Рекомендации
Задаваемое пороговое значение является балансом между эксплуатационной эффективностью и безопасностью и зависит от уровня риска в вашей организации. Чтобы учесть человеческий фактор и исключить возможность атак путем перебора паролей, рекомендуется задать параметру значение выше 4 и ниже 10.
Важно
Реализация этого параметра политики зависит от операционной среды, векторов атак, развернутых операционных систем и развернутых приложений. Дополнительные сведения см. в разделе Вопросы реализации этой статьи.
Расположение
\Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики учетных записей\Политика блокировки учетной записи
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также перечислены на странице свойств для параметра политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
0 недопустимых попыток входа |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
0 недопустимых попыток входа |
Действующие параметры контроллера домена по умолчанию |
0 недопустимых попыток входа |
Действующие параметры рядового сервера по умолчанию |
0 недопустимых попыток входа |
Действующие параметры объекта групповой политики по умолчанию на клиентских компьютерах |
0 недопустимых попыток входа |
Управление политикой
В этом разделе описываются компоненты и инструменты, доступные для управления этим параметром политики.
Необходимость перезагрузки
Нет. Изменения этого параметра политики вступают в силу без перезагрузки компьютера после их локального сохранения или распространения через групповую политику.
Вопросы реализации
Реализация этого параметра политики зависит от рабочей среды. Необходимо принять во внимание векторы атак, развернутые операционные системы и приложения, например следующие.
Вероятность кражи учетной записи или атаки типа "отказ в обслуживании" зависит от организации структуры безопасности для систем и среды. При задании порога блокировки учетной записи следует учитывать реальные и прогнозируемые риски этих угроз.
При согласовании типа шифрования между клиентами, серверами и контроллерами домена протокол Kerberos может автоматически предпринимать попытки повторного входа, которые учитываются в пороговом значении, заданном для данного параметра политики. В средах, где развернуты разные версии операционных систем, увеличивается число операций согласования типа шифрования.
Эффективно управлять количеством попыток входа пользователя в систему может только часть используемых в вашей среде приложений. Например, если при запуске и выполнении приложения постоянно происходит обрыв подключения, все последующие неудачные попытки входа будут учитываться в пороговом значении блокировки учетной записи.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
В атаках, использующих перебор паролей, могут применяться автоматические методы для проверки миллионов комбинаций. Эффективность таких атак можно практически исключить, ограничив количество допустимых неудачных попыток входа.
Однако атака типа "отказ в обслуживании" может затронуть домен с настроенным порогом блокировки учетной записи. Злоумышленник способен программным образом направлять серии атак на пароли всех пользователей в организации. Если число попыток превысит порог блокировки учетной записи, злоумышленник может заблокировать все учетные записи, не имея особых привилегий и без прохождения проверки подлинности в сети.
Примечание
Этот параметр политики не принимается в расчет в случае атак на автономные пароли.
Меры противодействия
Поскольку уязвимости могут существовать как при задании этого значения, так и при его отсутствии, существует две разных меры противодействия. Учитывая известные угрозы и риски, которые требуется нейтрализовать, организации должны оценить каждый вариант и сделать свой выбор. Доступны два следующих варианта.
Задание параметру Порог блокировки учетной записи значения, равного 0. Эта конфигурация предотвращает блокировку учетных записей и исключает атаки типа "отказ в обслуживании", которые намеренно пытаются заблокировать учетные записи. Кроме того, она позволяет сократить количество обращений в службу технической поддержки, так как пользователи не смогут сами случайно заблокировать свои учетные записи. Поскольку этот вариант не предотвращает атаку методом подбора, его следует выбирать только при явном выполнении следующих условий.
Задан параметр политики паролей и он требует от всех пользователей использования сложных паролей длиной как минимум 8 символов или более.
Имеется надежная система аудита для оповещения администраторов о выполнении ряда неудачных попыток входа.
Задание параметру политики Порог блокировки учетной записи достаточно высокого значения для предоставления пользователям возможности несколько раз случайно вводить неправильные символы, прежде чем учетная запись будет заблокирована, но при этом гарантирующего, что атака методом подбора по-прежнему будет блокировать запись.
В этом случае будет целесообразным задать 50 неверных попыток ввода данных для входа. Это значение предотвращает случайные блокировки учетных записей и снижает количество обращений в службу технической поддержки, но не исключает действие DoS-атаки. Этот вариант является рекомендуемым, если в вашей организации невозможно реализовать требования к сложным паролям и ввести политику аудита, информирующую администраторов о неудачных попытках входа.
Использование этого типа политики должно сопровождаться процессом разблокировки заблокированных учетных записей. Также должна существовать возможность реализации этой политики в случае необходимости сокращения массовых блокировок, вызванных атакой на системы.
Возможные последствия
Если этот параметр политики включен, заблокированная учетная запись недоступна для использования до тех пор, пока она не будет сброшена администратором или пока не истечет период действия блокировки. Включение этого параметра, скорее всего, приведет к увеличению числа дополнительных обращений в службу технической поддержки.
Если параметру политики Порог блокировки учетной записи задано значение 0, может случиться так, что при отсутствии в организации надежной системы аудита попытка злоумышленника определить пароли с помощью атаки методом подбора паролей может оказаться незамеченной.
Если этому параметру задано значение больше 0, злоумышленник сможет без труда заблокировать учетные записи с известными именами. Это особенно опасно, если учитывать, что для блокировки учетных записей требуется лишь получить доступ к сети.